我在不允许用户本地管理员权限的环境中工作。完全没有。这非常好，但如果员工必须具有本地管理员权限才能运行程序或安装需要提升权限的软件，即使只是进行安装，也可能会很痛苦。有一个簿记用户，他每月从我们的供应商那里收到一张 DVD，其中包含急需的报告。为了查看报告并进行备份，她必须运行 DVD 上的可执行文件。可执行文件需要管理员权限才能安装。因此，自从我来到这里以来，每个月我都会运行 .exe，UAC 会出现，并且我会提供运行安装程序所需的信息。

如果这是一个一次性程序，我将使用 Microsoft 应用程序兼容性工具包噱头绕过 UAC http://www.techrepublic.com/blog/windows-and-office/selectively-disable-uac-for-your-trusted-vista -applications/但是，由于这是每个月发给她的新 DVD，我需要某种工具，她可以自己使用此操作。

我环顾了 Server Fault，也做了 Google-Fu，但没有发现任何有用的东西。我可能是处于特殊情况的人之一。

我想用 Poweshell 来制作工具。理想情况下，我希望她能够放入 DVD，然后启动 Poweshell 工具（毫无疑问，从她的桌面快捷方式）查看 DVD 驱动器并以本地管理员身份运行 setup.exe 文件，而无需 UAC 提示，无需她提供任何凭据。

到目前为止，我所拥有的是一些拼凑在一起的垃圾。我不是 Powershell Jedi。我是 Poweshell 学徒。我有我需要的一半。我仍然需要存储密码，因此不必在每次运行脚本时都定义和输入密码。我希望它尽可能流畅并尽可能少点击。

对于我选择使用本地管理员帐户的凭据，因为该密码不会更改。本地管理员帐户将完成工作。我需要将该帐户信息存储在计算机上，以便 Powershell 每次运行脚本时都可以检索该帐户。因此，这将需要是路径变量中的加密文件。

# define path to store password and input password 
$path = "C:\Users\User\Password folder"
# get the encrypted local admin password from user path
$encpwd = Get-Content $path\admin.bin
# convert admin file to secure string 
$passwd = ConvertTo-SecureString $encpwd
# define local admin credential 
$cred = new-object System.Management.Automation.PSCredential 'computer name\local admin',$passwd
# go to DVD drive launch setup.exe as local admin with no user input required
Set-Location D:\
Start-Process PowerShell -Cred $cred -ArgumentList .\setup.exe

我可能会为此获得一些反对意见，但我知道在某个地方我需要在现有变量或新变量中定义并放入“”Read-Host“一些关于输入密码的文本”-AsSecureString“”。我必须将密码输入到该过程中。我试过几个地方。想法？智慧？不可能的？

Windows 7 专业版 Powershell v4

这个对 theCleaner 问题的回答帮助了我一些Windows DHCP 服务器 - 当未加入 AD 的设备获得 IP 地址时收到通知，但对他的问题的回答涉及 Quest Poweshell cmdlet。我想用普通的旧 Powershell v4 cmdlet 实现一个解决方案。

问题

我目前根本没有收到任何有关新 DHCP 租约的通知。当有人插入我们的插孔之一，从我们的 Windows Server 2012 DHCP 服务器获得 DHCP 租约，但尚未加入 AD 时，我希望收到通知。所以我想要一个关于非 AD 加入设备的新 DHCP 租约的电子邮件通知。

我试过的

我已经整理了一些 Powershell 代码，从上面提到的 theCleaner 的问题中借用了一些。

 Get-DhcpServerv4Lease -allleases -ScopeId #myscopeIDhere | Select-Object @{expression= {$_.hostname}; label='name' } | export-CSV -notypeinformation C:\dhcp\LeaseLog.csv

import-module activedirectory

#get input CSV

$leaselogpath = "c:\DHCP\LeaseLog.csv"
Import-csv -path $leaselogpath | 
#query AD for computer name based on csv log
foreach-object `
{ 
   $NameResult = Get-ADComputer -Filter * 
   If ($NameResult -eq $null) {$RogueSystem = $_.name}
   $RogueSystem | Out-File C:\DHCP\RogueClients.txt -Append
   $RogueSystem = $null

}
Get-Content C:\DHCP\RogueClients.txt | Select-Object -Unique | Out-File C:\DHCP\RogueClientsFinal.txt
Remove-Item C:\DHCP\RogueClients.txt

#send email to sysadmin
$smtpserver = #my email server IP address here
$from="[email protected]"
$to="[email protected]"
$subject="Non-AD joined DHCP clients"
$body= (Get-Content C:\DHCP\RogueClientsFinal.txt) -join '<BR>&nbsp;<BR>'
$mailer = new-object Net.Mail.SMTPclient($smtpserver)
$msg = new-object Net.Mail.MailMessage($from,$to,$subject,$body)
$msg.IsBodyHTML = $true
$mailer.send($msg)

我收到电子邮件“非 AD 加入 DHCP 客户端”，但电子邮件中没有对象。我们确实有非 AD 加入 DHCP 租约（我将非 AD 笔记本电脑连接到网络进行测试），但笔记本电脑没有显示在电子邮件中。运行脚本后我也没有收到任何红色测试。

如果有人有建议，请告诉我。我的脚本中的某个地方显然有问题。我个人认为这可能与我的 AD cmdlet 和 CSV 导入有关。

我的问题是我无法使用 Nxlog 收集 ADDS 或 DNS 事件并将它们发送到 ELK 服务器。在 DC 和 DNS 服务器的 Nxlog 配置中，我有以下查询

<QueryList>\
  <Query Id="0">\
     <Select Path="Security">*</Select>\
     <Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
     <Select Path="System">*[System/Level=2]</Select>\
     <Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
     <Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
  </Query>\
</QueryList>

配置文件在没有 Active Directory 和 DNS 路径的情况下正常工作。所需的安全和系统日志正确地转到 ELK。我也尝试在配置文件中只保留 ADDS 或 DNS 路径，但没有成功。我认为我在配置中没有正确的 ADDS 和 DNS 路径，这是我的问题。我的 Google-fu 和 Bing-fu 没有找到任何结果，为我提供了 ADDS 和 DNS 事件的事件 ID 通道。我只找到了应用程序、安全性、系统和设置的事件 ID 通道。有什么建议么？我愿意！

DC\DNS 服务器和 ELK 服务器在 Windows Server 2012 上运行。ELK 安装正在运行 ELK 的最新稳定版本。

我很想知道您对使用 Disk2vhd 将物理 Exchange 2007 服务器迁移到虚拟机的想法和/或经验。我假设（通过阅读有关 P2V 交换的文章）使用 System Center 的 P2V 工具是首选方法，但我的预算很紧。我在进行 bing/google 搜索时阅读了有关 Disk2vhd（一个免费的 sysinternals 工具）的信息，虽然我确实找到了一些使用 Disk2vhd 的 P2V Exchange 文章，但这些文章较旧并且基于实验室环境。我想知道是否有人在生产环境中使用过 Disk2vhd，当然，在成功测试之后，使用 Hyper-V 进行 Exchange 的 P2V 迁移。你经历了什么？对这种迁移有什么建议吗？

我想确保用户连接尽可能安全。我们的 RDWeb 服务器有一个 .local 名称（对于这个问题，它将被称为 rdweb.contoso.local）和一个公共名称：rdweb.contoso.com

我们为 RDWeb 网站 (rdweb.contoso.com) 提供了来自 godaddy 的高级 ssl。当用户单击运行 remoteapp A 时，它会连接到 rdweb 服务器。rdweb 服务器的连接框显示“...正在连接到 rdweb.contoso.local”，然后要求用户登录到 rdweb.contosto.local。成功登录后，会出现一个窗口询问用户是否要继续连接 rdweb.contoso.local，因为它无法验证。如果您单击查看证书，您可以看到该连接正在使用我在 IIS 中构建的自签名证书。这安全吗？RDWeb 使用的远程应用程序是一个人力资源/薪资应用程序，其中包含敏感的员工信息。

那么，自签名证书是否可以用于从 RDWeb 网站连接到 rdweb 服务器？我们有一个用于 rdweb 网站本身的高级 ssl (rdweb.contoso.com)

如果该自签名证书在这种情况下不安全，那么我该如何保证它的安全呢？从 godaddy 购买 .local 的 SSL？

我们已经使用这个过程一段时间了，我只是碰巧想到了连接的安全性。我知道它已加密并且我确实信任该证书，因为我知道它来自服务器。只是想对此有一些想法。

感谢大家。

操作系统：服务器 2008 r2 Windows 7 和 2008 r2 活动目录环境 RDWeb 用户从外部位置登录 RDWeb 到我们的本地网络

我的工作是向我们的远程员工推出一个名为 springbrook 的新应用程序（HR、Payroll 等）。该应用程序在我们的一台物理服务器 (Win 2008 R2) 上运行，要在本地使用它，我必须将网络驱动器映射到本地员工计算机上的服务器。我为该应用程序创建了一个桌面快捷方式，这样用户就不必进入映射的驱动器并以这种方式运行它。他们只需单击桌面快捷方式。

Springbrook 使用 LDAP 协议（​​在我们的例子中是 Active Directory）对尝试登录的用户进行身份验证，登录 ID 已经在 Springbrook 内部，因此当会话建立时，它要求用户登录并通过域的身份验证，这反过来连接到验证用户信息并允许他们访问的 LDAP 连接器。

我们的硬件防火墙是 Sonicwall TZ210 设备。我在该设备中设置了 VPN。在将使用 Springbrook 的用户工作站的远程站点上，我已经正确设置了 sonicwall VPN 客户端。在远程工作站，我可以建立到我们网络的连接，映射网络驱动器并调出 Springbrook 登录页面。当我输入凭据时，会弹出一条 Springbrook 错误消息，告诉我输入的密码不正确。事实并非如此，因为我知道凭据是正确的。

我就此联系了 Springbrook，技术人员告诉我，不知何故，VPN 隧道中没有进行身份验证。

好的。这个我就知道哈哈

然后他说他们为远程员工使用 Citrix。我确信 Citrix 有一个非常好的 WebApp 工具，但如果我可以通过 VPN 隧道完成此操作并为我们省钱，那就太好了。

我的技术同仁有什么建议吗？

服务器：Win 2008 r2 防火墙\VPN：Sonicwall tz210 Active Directory 域

我在我们的防火墙中启用了 LDAP 并得到了相同的结果。那没有用。除此之外，我没有尝试过任何东西。远程工作站运行与运行 springbrook 的本地工作站相同的“东西”。

好吧，这里是破败的技术人员。我已经在网络中的 VM 上安装了 Server 2008 r2 Remote Dekstop Services。我安装了以下 RD 角色服务：RD 会话主机、许可、连接代理、网关、Web 访问。当我最初设置时，网关服务器和 RDWeb 在本地正常工作。在本地运行 (remoteserver.domainname.local) 之后，我想在外部进行测试。从外部，我无法运行（这意味着我可以从外部连接到 rdweb 访问，但是当我尝试运行应用程序时，我会收到消息“无法连接/查找计算机”）。这是我的外部访问设置

• VM 上安装了每个 RD 服务角色服务，这意味着它充当网关、RD Web 访问、会话主机、许可等所有角色。
• 我在网关服务器上制作了一个自签名证书（gateway.domainname.net 是证书名称）。在内部，我有一个名为 domainname.net 的辅助前向查找区域，其中有一个指向网关服务器本地 IP 的 A 记录网关。在我们的公共 DNS (domainname.net) 上，我有一个 A 记录网关。这是为了从外部访问RDWeb。
• 在 IIS 中，我有以下身份验证设置 RDWeb：除匿名身份验证外均已禁用 Rpc：除基本和 Windows 外均已禁用 RpcWithCert：除 Windows 身份验证外均已禁用
• 我在我们的 sonicwall tz210 中有必要的网络访问配置（https 和 rdp，外部 ip 指向 rds 服务器的本地 ip）
• RAP 和 CAP 具有正确的用户和计算机组、身份验证以及允许的设备

在所有这一切之后，这是从外部访问时发生的情况。我可以正确登录到 RDWeb Access（我试过虚假登录，但我无法登录，所以工作正常）。我看到了要使用的应用程序。我点击一个应用程序，点击连接，凭证窗口打开，我输入正确的用户凭证，它尝试连接到网关服务器，但随后凭证窗口又回到视图中。我试图达到登录失败的限制，但从未达到过一次，哈哈。

因此，我尝试从同一台外部客户端计算机通过远程桌面连接连接到网关。我在 RD 窗口中输入了正确的网关设置，尝试连接并获得与我在 RDWeb 访问中相同的结果。

我检查了 RD 服务机器上的事件日志，并在我尝试从外部登录时看到了以下事件 ID：

ID 6037，消息“程序 svchost.exe，分配的进程 ID 为 2168，无法使用目标名称 host/gateway.domainname.net 在本地进行身份验证。使用的目标名称无效。目标名称应参考本地计算机名称之一，例如 DNS 主机名。尝试不同的目标名称。”

ID 10 RADWebAccess“RD Web 访问无法访问 gateway.domainname.net，这是指定为运行 RemoteApp 和桌面连接管理服务的服务器。确保 RD Web 访问服务器的计算机帐户是gateway.domainname.net 上的 TS Web 访问计算机安全组”

ID 4625 “帐户登录失败。

主题：安全 ID：NULL SID 帐户名称：- 帐户域：- 登录 ID：0x0

登录类型：3

登录失败的帐户：安全 ID：NULL SID 帐户名：管理员帐户域：gateway.domainname.net

失败信息：失败原因：未知的用户名或错误的密码。状态：0xc000006d 子状态：0xc000006a

进程信息：调用方进程 ID：0x0 调用方进程名称：-

网络信息：工作站名称：USER-LAPTOP 源网络地址：外部 IP 源端口：63125

详细身份验证信息：登录过程：NtLmSsp 身份验证包：NTLM 传输服务：- 包名称（仅限 NTLM）：- 密钥长度：0

当登录请求失败时生成此事件。它是在尝试访问的计算机上生成的。

主题字段指示请求登录的本地系统上的帐户。这是最常见的服务，如服务器服务，或本地进程，如 Winlogon.exe 或 Services.exe。

登录类型字段指示所请求的登录类型。最常见的类型是 2（交互式）和 3（网络）。

进程信息字段指示系统上的哪个帐户和进程请求登录。

网络信息字段指示远程登录请求的来源。工作站名称并非总是可用，在某些情况下可能会留空。

身份验证信息字段提供有关此特定登录请求的详细信息。- 中转服务指示哪些中间服务参与了此登录请求。- 包名表示在 NTLM 协议中使用了哪个子协议。”

我认为 VM 没有空 SID。VM 的 SID 和它的物理主机具有不同的 SIDS。我可以使用外部网关名称从外部访问 rpc 的空白页。

身份验证似乎是个问题。另外，网关服务器的外部名称与本地名称不匹配是否有问题？外部名称（证书所基于的）是 gateway.domainname.net，内部名称是 remoteserver.domainname.local。这是我唯一能想到的问题，但外部名称必须与本地名称不同，对吗？在内部，我 ping gateway.domainname.net，它给了我正确的服务器本地 IP。现在，AD 中没有实际的计算机名称，但我不知道如何实现？

我希望我已经清楚了......任何帮助将不胜感激。我想我已经接近实现这一目标。:)

我想消除 Logmein 成本。目前，用户通过 Logmein 从家里访问他们的工作桌面。我知道我可以使用 Sever 2008 R2 中的远程桌面服务来消除这种登录成本，甚至可能让用户更轻松。用户仅偶尔从家里或任何地方登录到他们的工作桌面以使用工作应用程序。我认为他们真的很喜欢使用 RDWeb 远程应用程序。在内部，一切正常。我的 sonicwall 单元中有适当的访问规则，以允许外部流量到我们的 RD 会话主机服务器/网关等，但我认为我必须有一个有效的 SSL 才能从外部访问 RDWeb。那是对的吗？我尝试从外部访问 rdweb 链接，但当然它失败了，因为地址是https://servername.local/rdweb我很确定该死的本地使我无法在购买 SSL 之前对此进行测试。我什至尝试了农场名称（顺便说一句，在本地有效），但它仍然失败。

我已准备就绪，但无法在外部进行测试。也许我错过了什么。就像我之前说的，所有这些都在内部正常工作，所以我已经正确设置了远程桌面服务：许可、网关、会话主机、rdweb 应用程序等。这可能只是我缺少的外部东西，或者我实际上必须有一个有效的 SSL 才能使外部流量通过。

感谢回应。

我希望这个问题有意义

我在县政府担任 IT 专业人员超过 2 1/2 年，此问题已发生 3 次。我可以通过重新启动主服务器来修复它，但我想修复它而不必走那条路。情况是这样的。在我们的主服务器（从这里开始称为 Server1）上，我们运行着名为 Springbrook（基金会计和公用事业计费企业软件）的软件。用户通过映射到 Server1 的驱动器访问 Springbrook。我在他们的桌面上放置了从映射驱动器中提取软件的快捷方式。有时，我不知道为什么，有 3 个或更多用户无法访问 Server1，这导致他们无法访问 Springbrook。我们其他人仍然可以访问 Server1。失去对 Server1 的访问权限是指 PC A 无法 ping、RD 或访问 Server1 上的共享。Ping 告诉我远程主机无法访问，RD 给出相同的消息，当我尝试浏览映射的驱动器时，该消息告诉我网络路径不可用。如果我重新启动 Server1，那么这 3 个用户突然可以再次访问 Server1。

我假设唯一发生的事情是网络服务正在重新启动，但我不知道它是 NetLogon 服务、AD 服务，还是我不知道的其他东西。重新启动用户的 PC 并不能解决问题。将 PC 重新加入域也不能解决问题；它总是重新启动 Server1 来解决问题。

这种情况并不经常发生。就像我说的，在我来这里的 2 1/2 年里，它发生了 3 次。在这 3 次中，它也不是同一台 PC。我想知道如何防止它或至少如何在不完全重新启动服务器的情况下修复它。

广告域。Windows Server 2008 R2 服务器。Sonicwall TZ210 防火墙。Netgear 24 端口千兆交换机。PC 连接到 Netgear gig 5 端口交换机。

谢谢。

编辑：感谢您到目前为止的回答。我的问题写得不好。我没有提到受影响的 PC 可以与网络上的其他 PC 通信，甚至是 Server2（我们必须与 DC）通信。Server1 也无法 ping 到受影响的 PC。